如何在 Cisco ASA 5505 后面配置 IKEv2 VPN?

如何在 Cisco ASA 5505 后面配置 IKEv2 VPN?

我相信大家都知道 Mac 发布了 OSX 和 iOS 更新,取消了对 PPTP VPN 的支持。由于 PPTP VPN 操作简单,几乎完全即插即用,因此我们的大多数客户都设置了 PPTP VPN。但随着最新更新,我们需要寻找另一种解决方案。

Windows 和 Mac 客户端都支持 IKEv2,它已在我们的 Windows 服务器上配置,并且两个操作系统上都不需要第三方 VPN 客户端。此解决方案对所有 Windows 最终用户完全透明,我们只需要重新配置 Mac 客户端。我们需要做的就是为其设置防火墙。

我们在 Windows 2012r2 服务器上托管当前的 PPTP VPN。该服务器位于运行 ASA 8.4(7) 的 CISCO ASA 5505 后面。根据我的研究,我需要创建访问规则和 NAT 规则来转发端口 500 和 4500。我还了解到,我要么需要为 ESP 创建 1:1 静态 NAT,要么某些版本的 IOS(我假设 ASA 也是)支持“IPsec NAT 透明度”,它将 ESP 封装在端口 4500 上的 IP 数据包中(类似于 PPTP 的 GRE 直通)。不幸的是,思科网站上没有关于此功能的所有文档,并且重定向到通用的“生命终结”登录页面。

我已配置访问规则以转发 UDP 端口 500 和 4500。当我为这些端口创建 NAT 规则时,我收到错误消息(来自 ASDM):

 [ERROR] nat (inside,Outside-Comcast) static interface service udp 500 500
     NAT unable to reserve ports.

我不知道为什么会失败。我猜想 ASA 上存在冲突,可能是由于 ASA 上默认安装的 Cisco VPN 配置所致。

我还不知道如何启用 IPsec NAT 透明度,或者该版本的 ASA 是否支持它。

Cisco 自适应安全设备软件版本 8.4(7) 设备管理器版本 7.3(3)

我意识到 NAT 错误消息与我的配置非常相关,并且我可以在必要时共享当前运行的配置,但我希望有人能立即知道“哦,是的,XYZ 默认处于开启状态,您必须先将其关闭”。

任何有关 IPsec NAT 的建议都将非常有帮助。如果有文档告诉我此版本的 ASA 是否支持它,或者是否有其他较新的功能可以启用来做同样的事情。

答案1

您需要在防火墙上允许 IPSEC 直通。如果您有可用的公共 IP 地址,请从公共 IP 地址到 VPN 服务器的私有 IP 地址进行 1:1 NAT。此时您需要做的就是添加允许端口连接到 VPN 服务器的 ACE。

您可以在思科支持网站上找到有关此问题的讨论。https://supportforums.cisco.com/discussion/10160506/ipsec-passthrough-asa5505

相关内容